Вирус "Печальное настроение"

Международные эксперты предостерегают от нового компьютерного вируса Sadmind, название которого можно перевести как "печальное настроение".

Этот вирус заражает серверы системы Интернет с большой скоростью и без участия человека. Все известные до этого вирусы, считают эксперты, распространялись хотя бы после щелчка "мышкой", а для Sadmind этого не требуется.

Новый вирус самостоятельно передает "саботажный код" на другие серверы и может при определенных "благоприятных для него" обстоятельствах разрушить все банки данных.

Пока он обрушился на Германию, где, по словам эксперта по компьютерным вирусам из Карлсруэ Кристофа Фишера, "уже задел более 10 тыс. серверов, но в принципе у него миллионы потенциальных жертв во всем мире".

Криминалисты и ученые-компьютерщики до сих пор не нашли авторов и причин вируса Sadmind, однако не без оснований полагают, что этот вирус - выражение новой компьютерной войны между США и Китаем.

Сегодня же российская антивирусная компания "Лаборатория Касперского" сообщила о появлении нового почтового червя VBS.Hard, в терминологии "Лаборатории". Для рассылки себя потенциальным жертвам червь использует почтовую систему от Microsoft - Outlook Express.

Червь написан на Visual Basic Script и функционирует только в среде Windows с установленным Windows Scripting Host, который в операционных системах Windows 98 и 2000 устанавливается по умолчанию.

Оригинальность социального инжиниринга распространителей этого вируса заключается в том, что в письме, распространяемом якобы от имени антивирусной компании Symantec, содержится предупреждение о новом вирусе, представляющем огромную опасность. Подробное описание вируса и методы борьбы с ними, по обещаниям авторов вируса, содержатся в аттачменте. Напуганный пользователь открывает приложение и заражает свой компьютер.

Вложенный файл "www.symantec.com.vbs", обещающий подробное описание нового вируса, представляет собой исполняемый файл Visual Basic Script. При запуске червь создает страницу с обещанным описанием несуществующего червя и попутно создает на компьютере незадачливого пользователя два файла. Первый - "c:www.symantec_send.vbs"- содержит программу, которая рассылает червя по всем адресам, содержащимся в адресной книге Windows. Второй же - "c:message.vbs" - содержит скрипт, который 24 ноября выводит сообщение:
Some shocking news
Don't look surprised!
It is only a warning about your stupidity
Take care!
(Кое-какие потрясающие новости! Не удивляйся! Это - всего лишь предупреждение о твоей глупости! И будь осторожен!).

Оба этих файла червь регистрирует в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows. Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.

Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ "HKLMSOFTWAREMicrosoftWABOE Done" и записывает в него значение "Hardhead_SatanikChild".

Ничего больше вирус не совершает и опасности не представляет. Его творцы, по всей видимости, решили таким образом бороться с неосторожностью пользователей.